Come applicare in modo concreto le SCC – Clausole contrattuali standard in azienda: sono ancora tanti i dubbi sul corretto impiego di questi strumenti contrattuali facoltativi ma utili sia nell’ambito del trasferimento dei dati che del rapporto tra titolare e responsabile del trattamento. I feedback ricevuti da parte di enti, organizzazioni e imprese hanno portato la Commissione UE ha chiarire ufficialmente gli aspetti pratici, pubblicando le informazioni sotto forma di FAQ, domanda e risposta.
Ricordiamo che le Clausole contrattuali standard sono un modello standardizzato di clausole sulla protezione dei dati. L’intento delle SCC per i contratti ex art. 28 GDPR è quello di agevolare titolari e responsabili del trattamento chiamati a formalizzare un accordo volto a stabilire, tra gli altri, gli obblighi di ciascuna parte (titolare e responsabile del trattamento) a tutela di una corretta attività di trattamento di dati personali.
Trasferimento dati su cloud Usa: quali soluzioni per le aziende italiane
SCC, perché è vietato modificare testo
Il testo delle SCC non possa essere modificato tranne che in alcuni casi come per:
- selezionare moduli e/o opzioni specifiche offerte nel testo;
- completare il testo fosse necessario (indicato tra parentesi quadre), ad esempio per indicare i tribunali competenti e l’autorità di controllo, e per specificare i periodi di tempo;
- compilare gli allegati
- aggiungere ulteriori garanzie che aumentano il livello di protezione dei dati.
Si tratta di adattamenti tutti che non sono da considerarsi come alterazioni. La modifica del testo, a parere di chi scrive, deve intendersi come sostanziale e non formale. In altri termini, se non ci si limita a fare un mero “copia e incolla” del format SCC messo a disposizione, ma si vuole e si riesce a metterlo su carta (libera) intestata calzandolo con le specifiche proprie della realtà senza alterare in alcun modo il contenuto, non sarà ritenuta questa una modifica di natura sostanziale-contenutistica quanto semmai una semplice diversa forma declinata.
A sostegno di ciò, infatti, le organizzazioni sono chiamate ad apportare i necessari adeguamenti scegliendo una delle due opzioni previste e in particolare:
- essere compliant al GDPR;
- avere un’autorizzazione preventiva (generale o specifica) scritta tra titolare e responsabile del trattamento in presenza di eventuali sub-responsabili.
Ma non è tutto. Il testo rimane integro anche nella misura le organizzazioni/parti intendano integrare le SCC con clausole aggiuntive ovvero queste siano incorporate in un contratto commerciale più ampio, purché il testo definitivo non contraddica le SCC, in via diretta o indiretta, senza ovviamente che i diritti degli interessati siano minimamente pregiudicati. Operativamente, perché le SCC siano incorporate occorre che «…le stesse siano applicate con riferimento alle circostanze delle parti compilando tutti gli allegati presenti con l’accortezza di chiarire quali moduli/opzioni sono state scelte le specifiche (tra parentesi quadre)».
Come strutturare gli allegati alle SCC
Oltre al testo dell’accordo, il cuore innovativo delle SCC è dato dagli allegati. Si tratta nella fattispecie di quattro allegati:
- elenco delle parti
- descrizione delle finalità
- dettaglio delle misure di sicurezza
- elenco di eventuali sub-responsabili
Ciascuno di questi allegati sono da doversi ritenere parti integranti delle clausole stesse ed il primo, in particolare, occorre che sia sottoscritto da entrambe le parti diventando per l’effetto, da quel punto in avanti vincolanti per le singole organizzazioni coinvolte.
Sulla sottoscrizione è chiaro ed evidente che, in una epoca come questa caratterizzata a tutti livelli da un’imponente digital trasformation, il processo/implementazione della firma digitale pare più che opportuno, per quanto — precisiamo — le SCC nulla dicono sulla modalità di firma apposta (elettronica o ancora… autografa).
Come funziona la docking clause
La docking clause, che letteralmente significa “clausola di approdo”, è di natura facoltativa. Si tratta di una circostanza in virtù della quale le organizzazioni/parti possono scegliere di concordare affinché altri soggetti possano, in un secondo momento, aderire al contratto ex articolo 28 GDPR.
La ratio e importanza di tale clausola sono dunque evidenti: avere una maggiore flessibilità in caso di modifiche rispetto ai soggetti che partecipano all’accordo di trattamento durante l’intero ciclo di vita del contratto, pensando per esempio alla filiera dei sub-responsabili. In pratica, una o più parti aggiunte dopo ben potrà aderire alle SCC purché tutti vi acconsentano.
Le nuove parti “approdate” a quel punto dovranno completare gli allegati sottoscrivendo l’allegato I delle SCC (elenco delle parti) perché l’adesione sia effettiva. Ancora, al momento dell’adesione alle SCC, la nuova parte assume tutti i diritti e gli obblighi in base al ruolo che assume. Tutti gli allegati delle SCC, ad approdo di una nuova organizzazione/parte, dovranno essere contestualmente aggiornati, con quanto per conseguenza (come, per esempio, l’allegato relativo alla descrizione dei trattamenti e le misure tecniche e organizzative applicabili).
Gestione dei sub responsabili
I sub-responsabili devono essere evidenziati o elencati. La Commissione UE indica che le organizzazioni devono scegliere tra due opzioni: “Opzione 1: Autorizzazione specifica preventiva / Opzione 2: Autorizzazione scritta generale”. In entrambi i casi, il responsabile del trattamento deve fornire il nome o i nomi dei singoli sub-responsabili del trattamento al responsabile del trattamento in modo che quest’ultimo sia abilitato a decidere in merito all’autorizzazione del/ai sub-responsabile/il selezionato/i.
Non è sufficiente che il responsabile del trattamento fornisca solo le categorie per i sub processori. Spetta alle parti concordare il periodo di tempo entro il quale il responsabile del trattamento deve presentare la richiesta di autorizzazione specifica preventiva (Opzione 1) o informare per iscritto il responsabile del trattamento di eventuali modifiche previste dell’elenco concordato dei sub-responsabili del trattamento (Opzione 2)».
Nella pratica, è richiesto al titolare e quindi al responsabile del trattamento la massima trasparenza e, per conseguenza, correttezza della filiera del sub-trattamento.
Cosa succede in caso di opposizione del titolare
Riguardo alle conseguenze nel caso in cui il titolare del trattamento si opponga ai cambiamenti dei sub-responsabili del trattamento, ovvero sia stata data un’autorizzazione generale all’assunzione di sub-responsabili del trattamento. Si tratta di opzioni frequenti, specie nella pratica, perciò occorre prestare particolare attenzione. La soluzione che la Commissione europea offre è chiara: il responsabile del trattamento deve informare per scritto il titolare del trattamento di eventuali modifiche previste rispetto all’elenco concordato di sub-responsabili del trattamento rispettando allo stesso tempo un periodo di preavviso congruo, anch’esso concordato.
Data transfer verso Paesi terzi, cosa fare
Da ultimo e per ragioni di completezza, è importante ancora soffermarsi su di un aspetto concernente la conformità all’articolo 28 del GDPR in caso di trasferimento al di fuori del SEE a un responsabile del trattamento o a un sub-responsabile del trattamento.
Sul punto, il chiarimento è bene evidenziarlo dal momento che chiarisce bene come se si utilizzano questi moduli, le organizzazioni/parti nei rispettivi ruoli di titolari e responsabili del trattamento non dovranno più stipulare un accordo separato sul trattamento dei dati, bastando integrare le SCC, al riguardo; specie quando non sussistano tra i Paesi extra UE decisioni di adeguatezza.
